一种名为 P2PInfect 的云端熟练且基于 Rust 的恶意软件的更新版本正在传播勒索软件和加密货币挖矿有效载荷。过去一年来,该恶意软件大多是良性的,只有研究人员在云实例中缓慢蠕虫并搜索 2022 年沙箱逃逸漏洞CVE-2022-0543的未修补实例时才对其进行跟踪。
在 6 月 25 日的一篇博客文章中,Cado Security 的研究人员写道,P2PInfect 主要通过 Redis 和有限的 SSH 传播器进行传播。现在,该恶意软件已更新为加密矿工、勒索软件负载和 rootkit 功能。
Keeper Security 公司安全和架构副总裁 Patrick Tiquet 解释说, P2Pinfect 的演变是复杂恶意软件发展的一个典型例子,通常专注于在初始阶段传播并在网络中建立稳固的立足点,使用利用软件漏洞或使用密码喷洒等技术。
在 2023 年 7 月的一篇研究文章中,Palo Alto Networks 的 Unit 42 首次将该恶意软件描述为一种新的点对点 (P2P) 蠕虫,并将其命名为 P2PInfect。“[此]蠕虫能够进行跨平台感染,并以 Redis 为目标,Redis 是一种流行的开源数据库应用程序,在云环境中被广泛使用……P2PInfect 蠕虫通过利用 Lua 沙箱逃逸漏洞 CVE-2022-0543感染易受攻击的 Redis 实例。虽然该漏洞于 2022 年被披露,但目前尚不完全了解其范围。”研究人员当时写道。
Keeper Security 的 Tiquet 表示,现阶段的目标是创建一个受感染设备的网络,形成一个僵尸网络,作者随后可以利用该网络进行各种恶意攻击。这种缓慢的构建过程使恶意软件能够成功避开标准的基于签名的防病毒产品的检测,因为使用先进的规避技术可以增强其在系统中的持久性和寿命。
Tiquet 表示:“一旦大量设备受到攻击,恶意软件就会更新,添加更具破坏性的功能,例如勒索软件或加密货币挖矿程序。通过长时间不被发现,恶意行为者可以开展长期活动,最大限度地扩大其影响力和经济收益。这种发展使恶意软件随着时间的推移变得更加危险,一旦它在网络中根深蒂固,就更难以打击。”
Qualys 威胁研究部门网络威胁主管 Ken Dunham 补充说,P2Pinfect 非常典型地会伺机攻击防御薄弱的 SSH 帐户。他表示,根据 Cado Security 的记录,它在运行的基础设施中内置了一些独特的弹性组件。
邓纳姆说:“这项研究证明,‘隐身求生’对于那些在代码和攻击上投入了大量精力、希望在进入网络后保持立足点的对手来说非常重要。”
邓纳姆表示,网络威胁情报团队必须监控和管理不良行为者不断发展的策略、技术和程序,以便进行归因,同时还要监控和管理威胁形势的变化和指标,以确定公司应关注哪些方面以最大限度地降低风险。
邓纳姆说:“由于对手注重的是弹性和隐身性以求生存,因此至关重要的是,组织能够通过定期审计和保证以及紫色团队行动来获得威胁的可见性并能够预测未知事件。”
发表评论
您还未登录,请先登录。
登录